Basicamente eu tenho um entendimento básico sobre a configuração do postfix, mas ainda restam algumas perguntas, eu tento envolver minha mente.
Suponha que há três servidores, MX.somedomain.com , MX.int.domain1.com e MX.int.domain2.com . O MX.somedomain.com é um servidor IP estático, não-blacklistet, com DKIM e SFP configurado para domain1.com e domain2.com, há um certificado letsencrypt válido para postfix na porta 25 para o nome do host mx .somedomain.com (use STARTTLS).
Agora, antes de tudo, as regras genéricas devem se aplicar, que apenas os endereços IP "não dinâmicos" têm permissão para transmitir uma mensagem sem autorização, desde que seja para domain1.com ou domain2.com. Acho que tenho essa parte coberta com /etc/postfix/main.cf :
mynetworks = 127.0.0.0/8
relay_domains = domain1.com, domain2.com
transport_maps = hash:/etc/postfix/transport
smtpd_relay_restrictions = permit_mynetworks,
reject_unauth_destination,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org
E / etc / postfix / transport :
domain1.com smtp:[mx.int.domain1.com:587]
domain2.com smtp:[mx.int.domain2.com:587]
Agora, o servidor pode retransmitir e-mails de acordo com a rota de transporte. Eu chego à autenticação daqui a pouco.
Os servidores int não têm um IP estático, então eles devem se conectar ao MX.somedomain.com:25, STARTTLS, AUTH (simples, eu acho) e finalmente entregar suas mensagens. Não STARTTLS - > NENHUM AUTH.
Agora eu preciso ter certeza, se eu criar um usuário domain1upgw: passw0rd, ele terá permissão para enviar como qualquer usuário benetah @ domain1.com, mas não @ domain2.com. O mesmo vale para um usuário domain2upgw: LoveSexSecretGod, que pode transmitir apenas mensagens originadas de @ domain2.com.
Para apimentar um pouco, um terceiro usuário, [email protected]: swordfish, que só tem permissão para enviar mensagens como [email protected], para que ele possa se conectar diretamente ao smtp sem utilizar o int.domain1 .com infra-estrutura.
O que resta é a conexão downstream de MX.somedomain.com para MX.int.domain1.com e MX.int.domain2.com. MX.int.domain1.com autoriza o login através do LDAP, mas eu gostaria de ter um login de usuário postfix independente e local, ao qual o host de retransmissão upstream MX.somedomain.com poderia se conectar e deixar mensagens.
O que eu não entendo é como dizer ao postfix para aplicar regras diferentes em diferentes usuários / grupos / auth-methods.
Tags postfix